Новая модель Виста.

все же думаю хацкеры найдут способ грузить дрова неподписанными.

 

NeutronMass
Да они уже нашли, называется очень просто "загрузиться в режиме "Disable Driver Signature Enforcement"".

 

Cock
так это ж вроде только для 32 битной версии?

гоню

всё равно. например я не пишу троян, мне что говорить юзеру, чтобы он всё время при загрузке энефорс этот включал?
а как же файерволы или антивири пишутся?

 

Mightywill
Ты сам-то смотре лэту утилиту? Нет? та и быть "просвящу", утилит а, эта содержить в ресурсах два драйвера, один для 32, и второй для 64,
оба подписаны цифровой печатью. Один из "способов", тот который они использовали на 64 битной висте - читался фаел драйвера, настраивались релоки импорты и создавался обьект драйвер и добавлялся в менежер обьектов и все.
Такую технику практикуют все причем ничего такого умного туту нет.

Ну и через неделю произошло так называемое "сертификат ревокатион".

 

боян. валяется пока на винте эта прога, на висту пока не собираюсь переходить.

 

Cock
ну так это ж один из способов, никто не гарантирует приниципиальное отсутсвие более надёжного, а сам факт взлома уже что-то да значит.

 

самое обидное, что хацкеры всё равно свои вири просунут, а для нормального легального девелопмента появился большой геморрой.

 

Чёрт, зачем постить устаревшую информацию? Не так давно обсуждалась Atsiv, прикрыли лавочку.

 

Чего-то я там хакеров не наблюдаю, и самого взлома. И для легального софта я тоже не вижу препятсвий, если он пишется с умом и не юзает недокументированные хаки, если в этом нт острой надобности.
Вообще тема неинтересная уже.

 

а как написать уникальный софт не используя извраты?

 

чем быстрее расколят Мелкомягких на две компании, тем лучше будет для всех! Монополии - нет!

 

Виста-64 работает с большинством дров ХР-64. Не требуя особенной подписи.
Видимо защита не отличается...
Есть материалы по ХР-64 ?

 

странное дело.. на днях разбирался с вистой64 и дровами под неё - проблема действительно есть.. неподписанный драйвер не загружается, но:

код который находится в драйвер-ентри всеже получает управление, а этот код уже выполняется в ринг-0, и теоретически этот код может делать с системой все что угодно..

хотя винда всеже отказывает в дальнейшем нормальную установку драйвера..

или я чего-то напутал..

 

ratix
Если это так то это очень даже большой гуд. Хотя нелогичность здесь. На кой хрен грузить драйвер и тем более передавать ему управление ежели он невалидный.

 

k3internal
пробовал это пока тока под ВМВарей..
возможно это как-то повиляло..

 

да я смотрю никак народ от жизни отстал - уже больше года прошло с момента доклада жанны рутковской
"subverting vista kernel for fun and profit" на конфах syscan'06 и blackhat'06

подписи висту64 от малварей не спасают, а лишь отсеивают некоторых киддисов научившихся компилить чужие руткиты

во-первых, подпись стоит порядка 250$ и оформляется в течении двух часов (или двух дней - не моню
содержимое никак не проверяется, но только для офф. юр. лиц

во-вторых всегда можно воспользоваться чужими багами (а дрова без багов научатся писать еще не скоро)
причем искать популярный бажный драйвер вовсе не зачем, подписи то не устаревают и не отменяются...
так что малвари могут таскать ссобой небольшой бажный подписанный драйвер, и через него ломиться в р0
и все патчи пролетают...

подробнее об этом можно почитать в выше упомянутом докладе и его многочисленных обсуждениях...

и для ленивых, сам вбил в гугл название доклада:
http://www.invisiblethings.org/papers/joanna%20rutkowska%20-%20subverting%20vista%20kernel.ppt
http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf

з.ы. там же можно почитать про синюю таблетку - якобы "недетектируемый" руткит на основе апаратной виртуализации
кстати автор "новой" таблетки - Alexander Tereshkin aka 90120

 

ну мне кажется техники рано ил поздно пройдут в массы ... хотя честно мне этот гемор надоел я только к XP привыкать стал а тут навыпускали млин ...

на какой то день наверно )))))))